Udostępnij za pośrednictwem


Co to jest usługa Azure Managed Redis (wersja zapoznawcza) z usługą Azure Private Link?

Z tego artykułu dowiesz się, jak utworzyć sieć wirtualną i wystąpienie usługi Azure Managed Redis (wersja zapoznawcza) z prywatnym punktem końcowym przy użyciu witryny Azure Portal. Dowiesz się również, jak dodać prywatny punkt końcowy do istniejącego wystąpienia usługi Azure Managed Redis.

Prywatny punkt końcowy platformy Azure to interfejs sieciowy, który nawiązuje prywatne i bezpieczne połączenie z usługą Azure Managed Redis obsługiwaną przez usługę Azure Private Link.

Ważne

Używanie prywatnego punktu końcowego do nawiązywania połączenia z siecią wirtualną jest zalecanym rozwiązaniem do zabezpieczania zasobu usługi Azure Managed Redis (wersja zapoznawcza) w warstwie sieciowej.

Wymagania wstępne

Tworzenie prywatnego punktu końcowego przy użyciu nowego wystąpienia usługi Azure Managed Redis

W tej sekcji utworzysz nowe wystąpienie usługi Azure Managed Redis z prywatnym punktem końcowym.

Tworzenie sieci wirtualnej dla nowej pamięci podręcznej

Aby utworzyć pamięć podręczną przy użyciu portalu:

  1. Zaloguj się do witryny Azure Portal i wybierz pozycję Utwórz zasób.

    Wybierz pozycję Utwórz zasób.

  2. Na stronie Nowy wybierz pozycję Sieć , a następnie wybierz pozycję Sieć wirtualna.

  3. Wybierz pozycję Dodaj , aby utworzyć sieć wirtualną.

  4. W obszarze Tworzenie sieci wirtualnej wprowadź lub wybierz te informacje na karcie Podstawy :

    Ustawienie Sugerowana wartość opis
    Subskrypcja Z listy rozwijanej i wybierz subskrypcję. Subskrypcja, w której tworzysz tę sieć wirtualną.
    Grupa zasobów: Z listy rozwijanej i wybierz grupę zasobów lub wybierz pozycję Utwórz nową i wprowadź nową nazwę grupy zasobów. Nazwa grupy zasobów, w której ma zostać utworzona sieć wirtualna i inne zasoby. Umieszczając wszystkie zasoby aplikacji w jednej grupie zasobów, można je łatwo zarządzać lub usuwać razem.
    Nazwa/nazwisko Wprowadź nazwę sieci wirtualnej. Nazwa musi zaczynać się literą lub cyfrą; na końcu litery, cyfry lub podkreślenia; i zawierają tylko litery, cyfry, podkreślenia, kropki lub łączniki.
    Region Z listy rozwijanej wybierz region. Wybierz region w pobliżu innych usług korzystających z sieci wirtualnej.
  5. Wybierz kartę Adresy IP lub wybierz przycisk Dalej: adresy IP w dolnej części strony.

  6. Na karcie Adresy IP określ przestrzeń adresową IPv4 jako co najmniej jeden prefiks adresu w notacji CIDR (na przykład 192.168.1.0/24).

  7. W obszarze Nazwa podsieci wybierz opcję domyślną , aby edytować właściwości podsieci.

  8. W okienku Edytowanie podsieci określ nazwę podsieci i zakres adresów podsieci. Zakres adresów podsieci powinien znajdować się w notacji CIDR (na przykład 192.168.1.0/24). Musi ona być zawarta w przestrzeni adresowej sieci wirtualnej.

  9. Wybierz pozycję Zapisz.

  10. Wybierz kartę Przeglądanie + tworzenie lub wybierz przycisk Przejrzyj i utwórz .

  11. Sprawdź, czy wszystkie informacje są poprawne, a następnie wybierz pozycję Utwórz , aby utworzyć sieć wirtualną.

Tworzenie wystąpienia usługi Azure Managed Redis z prywatnym punktem końcowym

Aby utworzyć wystąpienie pamięci podręcznej, wykonaj następujące kroki:

  1. Wróć do strony głównej witryny Azure Portal lub otwórz menu paska bocznego, a następnie wybierz pozycję Utwórz zasób.

  2. W polu wyszukiwania wpisz Azure Cache for Redis. Uściślij wyszukiwanie tylko w usługach platformy Azure i wybierz pozycję Azure Cache for Redis.

  3. Na stronie Nowa pamięć podręczna Redis Cache skonfiguruj ustawienia nowej pamięci podręcznej.

    1. Wybierz pamięć podręczną Redis Azure Managed Redis Cache w jednostce SKU pamięci podręcznej.
    2. Wybierz odpowiednią opcję w obszarze Rozmiar pamięci podręcznej.
  4. Wybierz kartę Sieć lub wybierz przycisk Sieć w dolnej części strony.

  5. Na karcie Sieć wybierz pozycję Prywatny punkt końcowy dla metody łączności.

  6. Wybierz przycisk Dodaj, aby utworzyć prywatny punkt końcowy.

    W sieci dodaj prywatny punkt końcowy.

  7. Na stronie Tworzenie prywatnego punktu końcowego skonfiguruj ustawienia prywatnego punktu końcowego za pomocą sieci wirtualnej i podsieci utworzonej w ostatniej sekcji i wybierz przycisk OK.

  8. Wybierz kartę Dalej: Zaawansowane lub wybierz przycisk Dalej: Zaawansowane w dolnej części strony.

  9. Na karcie Zaawansowane dla wystąpienia podstawowej lub standardowej pamięci podręcznej wybierz przełącznik włącz, jeśli chcesz włączyć port inny niż TLS.

  10. Na karcie Zaawansowane dla wystąpienia pamięci podręcznej w warstwie Premium skonfiguruj ustawienia portów innych niż TLS, klastrowanie i trwałość danych.

  11. Wybierz kartę Dalej: Tagi lub wybierz przycisk Dalej: Tagi w dolnej części strony.

  12. Opcjonalnie na karcie Tagi wprowadź nazwę i wartość, jeśli chcesz skategoryzować zasób.

  13. Wybierz pozycję Przejrzyj i utwórz. Przejdź do karty Przeglądanie i tworzenie, na której platforma Azure weryfikuje konfigurację.

  14. Po pojawieniu się zielonego komunikatu Weryfikacja przekazana wybierz pozycję Utwórz.

Utworzenie pamięci podręcznej zajmuje trochę czasu. Postęp można monitorować na stronie Omówienie usługi Azure Managed Redis. Gdy stan jest wyświetlany jako Uruchomiono, pamięć podręczna jest gotowa do użycia.

Tworzenie prywatnego punktu końcowego z istniejącym wystąpieniem usługi Azure Managed Redis

W tej sekcji dodasz prywatny punkt końcowy do istniejącego wystąpienia usługi Azure Managed Redis.

Tworzenie sieci wirtualnej dla istniejącej pamięci podręcznej

Aby utworzyć sieć wirtualną, wykonaj następujące kroki:

  1. Zaloguj się do witryny Azure Portal i wybierz pozycję Utwórz zasób.

  2. Na stronie Nowy wybierz pozycję Sieć , a następnie wybierz pozycję Sieć wirtualna.

  3. Wybierz pozycję Dodaj , aby utworzyć sieć wirtualną.

  4. W obszarze Tworzenie sieci wirtualnej wprowadź lub wybierz te informacje na karcie Podstawy :

    Ustawienie Sugerowana wartość opis
    Subskrypcja Z listy rozwijanej i wybierz subskrypcję. Subskrypcja, w której tworzysz tę sieć wirtualną.
    Grupa zasobów: Z listy rozwijanej i wybierz grupę zasobów lub wybierz pozycję Utwórz nową i wprowadź nową nazwę grupy zasobów. Nazwa grupy zasobów, w której ma zostać utworzona sieć wirtualna i inne zasoby. Umieszczając wszystkie zasoby aplikacji w jednej grupie zasobów, można je łatwo zarządzać lub usuwać razem.
    Nazwa/nazwisko Wprowadź nazwę sieci wirtualnej. Nazwa musi zaczynać się literą lub cyfrą; na końcu litery, cyfry lub podkreślenia; i zawierają tylko litery, cyfry, podkreślenia, kropki lub łączniki.
    Region Z listy rozwijanej wybierz region. Wybierz region w pobliżu innych usług korzystających z sieci wirtualnej.
  5. Wybierz kartę Adresy IP lub wybierz przycisk Dalej: adresy IP w dolnej części strony.

  6. Na karcie Adresy IP określ przestrzeń adresową IPv4 jako co najmniej jeden prefiks adresu w notacji CIDR (na przykład 192.168.1.0/24).

  7. W obszarze Nazwa podsieci wybierz opcję domyślną , aby edytować właściwości podsieci.

  8. W okienku Edytowanie podsieci określ nazwę podsieci i zakres adresów podsieci. Zakres adresów podsieci powinien znajdować się w notacji CIDR (na przykład 192.168.1.0/24). Musi ona być zawarta w przestrzeni adresowej sieci wirtualnej.

  9. Wybierz pozycję Zapisz.

  10. Wybierz kartę Przeglądanie + tworzenie lub wybierz przycisk Przejrzyj i utwórz .

  11. Sprawdź, czy wszystkie informacje są poprawne, a następnie wybierz pozycję Utwórz , aby utworzyć sieć wirtualną.

Tworzenie prywatnego punktu końcowego

Aby utworzyć prywatny punkt końcowy, wykonaj następujące kroki:

  1. W witrynie Azure Portal wyszukaj usługę Azure Cache for Redis. Następnie naciśnij Enter lub wybierz go z sugestii wyszukiwania dla pamięci podręcznej.

  2. Wybierz wystąpienie pamięci podręcznej, do którego chcesz dodać prywatny punkt końcowy.

  3. Na ekranie po lewej stronie wybierz prywatny punkt końcowy.

  4. Wybierz przycisk Prywatny punkt końcowy, aby utworzyć prywatny punkt końcowy.

  5. Na stronie Tworzenie prywatnego punktu końcowego skonfiguruj ustawienia prywatnego punktu końcowego.

    Ustawienie Sugerowana wartość opis
    Subskrypcja Z listy rozwijanej i wybierz subskrypcję. Subskrypcja, w której tworzysz ten prywatny punkt końcowy.
    Grupa zasobów: Z listy rozwijanej i wybierz grupę zasobów lub wybierz pozycję Utwórz nową i wprowadź nową nazwę grupy zasobów. Nazwa grupy zasobów, w której ma zostać utworzony prywatny punkt końcowy i inne zasoby. Umieszczając wszystkie zasoby aplikacji w jednej grupie zasobów, można je łatwo zarządzać lub usuwać razem.
    Nazwa/nazwisko Wprowadź nazwę prywatnego punktu końcowego. Nazwa musi zaczynać się literą lub cyfrą; na końcu litery, cyfry lub podkreślenia; i może zawierać tylko litery, cyfry, podkreślenia, kropki lub łączniki.
    Region Z listy rozwijanej wybierz region. Wybierz region w pobliżu innych usług korzystających z prywatnego punktu końcowego.
  6. Wybierz przycisk Dalej: Zasób w dolnej części strony.

  7. Na karcie Zasób wybierz subskrypcję, wybierz typ zasobu jako Microsoft.Cache/redisEnterprise, a następnie wybierz pamięć podręczną, z którą chcesz połączyć prywatny punkt końcowy.

  8. Wybierz przycisk Dalej: Konfiguracja w dolnej części strony.

  9. Wybierz przycisk Dalej: Sieć wirtualna w dolnej części strony.

  10. Na karcie Konfiguracja wybierz sieć wirtualną i podsieć utworzoną w poprzedniej sekcji.

  11. Na karcie Sieć wirtualna wybierz sieć wirtualną i podsieć utworzoną w poprzedniej sekcji.

  12. Wybierz przycisk Dalej: Tagi w dolnej części strony.

  13. Opcjonalnie na karcie Tagi wprowadź nazwę i wartość, jeśli chcesz skategoryzować zasób.

  14. Wybierz pozycję Przejrzyj i utwórz. Przejdź do karty Przeglądanie i tworzenie , na której platforma Azure weryfikuje konfigurację.

  15. Po pojawieniu się zielonego komunikatu Weryfikacja przekazana wybierz pozycję Utwórz.

Ważne

Istnieje flaga publicNetworkAccess, która jest Disabled domyślnie. Możesz ustawić wartość na Disabled lub Enabled. W przypadku ustawienia wartości na włączone ta flaga zezwala na dostęp do pamięci podręcznej zarówno publicznego, jak i prywatnego punktu końcowego. W przypadku ustawienia wartości na Disabled zezwala tylko na uzyskiwanie dostępu do prywatnego punktu końcowego. Aby uzyskać więcej informacji na temat zmiany wartości, zobacz często zadawane pytania.

Tworzenie prywatnego punktu końcowego przy użyciu programu Azure PowerShell

Aby utworzyć prywatny punkt końcowy o nazwie MyPrivateEndpoint dla istniejącego wystąpienia usługi Azure Managed Redis, uruchom następujący skrypt programu PowerShell. Zastąp wartości zmiennych szczegółami środowiska:


$SubscriptionId = "<your Azure subscription ID>"
# Resource group where the Azure Managed Redis instance and virtual network resources are located
$ResourceGroupName = "myResourceGroup"
# Name of the Azure Managed Redis instance
$redisCacheName = "mycacheInstance"

# Name of the existing virtual network
$VNetName = "myVnet"
# Name of the target subnet in the virtual network
$SubnetName = "mySubnet"
# Name of the private endpoint to create
$PrivateEndpointName = "MyPrivateEndpoint"
# Location where the private endpoint can be created. The private endpoint should be created in the same location where your subnet or the virtual network exists
$Location = "westcentralus"

$redisCacheResourceId = "/subscriptions/$($SubscriptionId)/resourceGroups/$($ResourceGroupName)/providers/Microsoft.Cache/Redis/$($redisCacheName)"

$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "myConnectionPS" -PrivateLinkServiceId $redisCacheResourceId -GroupId "redisCache"
 
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $ResourceGroupName -Name $VNetName  
 
$subnet = $virtualNetwork | Select -ExpandProperty subnets | Where-Object  {$_.Name -eq $SubnetName}  
 
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $ResourceGroupName -Name $PrivateEndpointName -Location "westcentralus" -Subnet  $subnet -PrivateLinkServiceConnection $privateEndpointConnection

Pobieranie prywatnego punktu końcowego przy użyciu programu Azure PowerShell

Aby uzyskać szczegółowe informacje o prywatnym punkcie końcowym, użyj tego polecenia programu PowerShell:

Get-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName

Usuwanie prywatnego punktu końcowego przy użyciu programu Azure PowerShell

Aby usunąć prywatny punkt końcowy, użyj następującego polecenia programu PowerShell:

Remove-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName

Tworzenie prywatnego punktu końcowego przy użyciu interfejsu wiersza polecenia platformy Azure

Aby utworzyć prywatny punkt końcowy o nazwie myPrivateEndpoint dla istniejącego wystąpienia usługi Azure Managed Redis, uruchom następujący skrypt interfejsu wiersza polecenia platformy Azure. Zastąp wartości zmiennych szczegółami środowiska:

# Resource group where the Azure Managed Redis and virtual network resources are located
ResourceGroupName="myResourceGroup"

# Subscription ID where the Azure Managed Redis and virtual network resources are located
SubscriptionId="<your Azure subscription ID>"

# Name of the existing Azure Managed Redis instance
redisCacheName="mycacheInstance"

# Name of the virtual network to create
VNetName="myVnet"

# Name of the subnet to create
SubnetName="mySubnet"

# Name of the private endpoint to create
PrivateEndpointName="myPrivateEndpoint"

# Name of the private endpoint connection to create
PrivateConnectionName="myConnection"

az network vnet create \
    --name $VNetName \
    --resource-group $ResourceGroupName \
    --subnet-name $SubnetName

az network vnet subnet update \
    --name $SubnetName \
    --resource-group $ResourceGroupName \
    --vnet-name $VNetName \
    --disable-private-endpoint-network-policies true

az network private-endpoint create \
    --name $PrivateEndpointName \
    --resource-group $ResourceGroupName \
    --vnet-name $VNetName  \
    --subnet $SubnetName \
    --private-connection-resource-id "/subscriptions/$SubscriptionId/resourceGroups/$ResourceGroupName/providers/Microsoft.Cache/redisEnterprise/$redisCacheName" \
    --group-ids "redisEnterprise" \
    --connection-name $PrivateConnectionName

Pobieranie prywatnego punktu końcowego przy użyciu interfejsu wiersza polecenia platformy Azure

Aby uzyskać szczegółowe informacje o prywatnym punkcie końcowym, użyj następującego polecenia interfejsu wiersza polecenia:

az network private-endpoint show --name MyPrivateEndpoint --resource-group MyResourceGroup

Usuwanie prywatnego punktu końcowego przy użyciu interfejsu wiersza polecenia platformy Azure

Aby usunąć prywatny punkt końcowy, użyj następującego polecenia interfejsu wiersza polecenia:

az network private-endpoint delete --name MyPrivateEndpoint --resource-group MyResourceGroup

Często zadawane pytania

Jak mogę połączyć się z pamięcią podręczną przy użyciu prywatnego punktu końcowego?

Aplikacja powinna nawiązać <cachename>.<region>.redis.azure.net połączenie z portem 10000. Prywatna strefa DNS o nazwie *.privatelink.redis.azure.net jest tworzona automatycznie w ramach subskrypcji. Prywatna strefa DNS jest niezbędna do nawiązania połączenia TLS z prywatnym punktem końcowym. Zalecamy unikanie używania funkcji <cachename>.privatelink.redis.azure.net w konfiguracji dla połączenia klienta.

Aby uzyskać więcej informacji, zobacz Konfiguracja strefy DNS usług platformy Azure.

Dlaczego nie mogę nawiązać połączenia z prywatnym punktem końcowym?

  • Prywatnych punktów końcowych nie można używać z wystąpieniem pamięci podręcznej, jeśli pamięć podręczna jest już wstrzykniętą pamięcią podręczną sieci wirtualnej.

  • Pamięci podręczne Azure Managed Redis Cache są ograniczone do 84 łączy prywatnych.

  • Próbujesz utrwalać dane na koncie magazynu, na którym są stosowane reguły zapory i mogą uniemożliwić utworzenie łącza prywatnego.

  • Jeśli wystąpienie pamięci podręcznej korzysta z nieobsługiwanej funkcji, nie możesz nawiązać połączenia z prywatnym punktem końcowym.

Jakie funkcje nie są obsługiwane w przypadku prywatnych punktów końcowych?

  • Nie ma ograniczeń dotyczących używania prywatnego punktu końcowego z usługą Azure Managed Redis (wersja zapoznawcza).

Jak sprawdzić, czy mój prywatny punkt końcowy jest poprawnie skonfigurowany?

Przejdź do Przeglądu w menu Zasób w portalu. W okienku roboczym zostanie wyświetlona nazwa hosta pamięci podręcznej. Aby sprawdzić, czy polecenie jest rozpoznawane jako prywatny adres IP pamięci podręcznej, uruchom polecenie podobne nslookup <hostname> do z poziomu sieci wirtualnej połączonej z prywatnym punktem końcowym.

W witrynie Azure Portal ustawienia prywatnego punktu końcowego D N S.

Jak mogę zmienić mój prywatny punkt końcowy na wyłączony lub włączony z dostępu do sieci publicznej?

Aby zmienić wartość w portalu Azure, wykonaj następujące kroki:

  1. W portalu Azure wyszukaj Azure Managed Redis. Następnie naciśnij Enter lub wybierz go z sugestii wyszukiwania.

  2. Wybierz wystąpienie pamięci podręcznej, któremu chcesz zmienić wartość dostępu do sieci publicznej.

  3. Na ekranie po lewej stronie wybierz prywatny punkt końcowy.

  4. Usuń prywatny punkt końcowy.

Jak wdrożyć wiele punktów końcowych w różnych sieciach wirtualnych?

Aby mieć wiele prywatnych punktów końcowych w różnych sieciach wirtualnych, przed utworzeniem prywatnego punktu końcowego należy ręcznie skonfigurować prywatną strefę DNS do wielu sieci wirtualnych. Aby uzyskać więcej informacji, zobacz Konfiguracja usługi DNS prywatnego punktu końcowego platformy Azure.

Co się stanie w przypadku usunięcia wszystkich prywatnych punktów końcowych w pamięci podręcznej?

Jeśli usuniesz wszystkie prywatne punkty końcowe w pamięci podręcznej Azure Managed Redis (wersja zapoznawcza), domyślnie sieć będzie miała dostęp do sieci publicznej.

Czy sieciowe grupy zabezpieczeń są włączone dla prywatnych punktów końcowych?

Nie, są one wyłączone dla prywatnych punktów końcowych. Chociaż podsieci zawierające prywatny punkt końcowy mogą mieć skojarzoną sieciową grupę zabezpieczeń, reguły nie są skuteczne dla ruchu przetwarzanego przez prywatny punkt końcowy. Aby wdrożyć prywatne punkty końcowe w podsieci, musisz mieć wyłączone egzekwowanie zasad sieciowych. Sieciowa grupa zabezpieczeń jest nadal egzekwowana na innych obciążeniach hostowanych w tej samej podsieci. Trasy w dowolnej podsieci klienta używają prefiksu /32, zmieniając domyślne zachowanie routingu wymaga podobnej trasy zdefiniowanej przez użytkownika.

Kontrolowanie ruchu przy użyciu reguł sieciowej grupy zabezpieczeń dla ruchu wychodzącego na klientach źródłowych. Wdróż poszczególne trasy z prefiksem /32, aby zastąpić trasy prywatnego punktu końcowego. Dzienniki przepływu sieciowej grupy zabezpieczeń i informacje o monitorowaniu połączeń wychodzących są nadal obsługiwane i mogą być używane.

Moje wystąpienie prywatnego punktu końcowego nie znajduje się w mojej sieci wirtualnej, więc jak jest ono skojarzone z moją siecią wirtualną?

Prywatny punkt końcowy jest połączony tylko z siecią wirtualną. Ponieważ nie znajduje się ono w sieci wirtualnej, reguły sieciowej grupy zabezpieczeń nie muszą być modyfikowane dla zależnych punktów końcowych.

  • Aby dowiedzieć się więcej na temat usługi Azure Private Link, zobacz dokumentację usługi Azure Private Link.
  • Aby porównać różne opcje izolacji sieci dla pamięci podręcznej, zobacz dokumentację opcji izolacji sieci usługi Azure Cache for Redis.